电脑EFS加密原理及解密思路,丢失秘钥怎么解密
EFS加密是windows系统⾃带的加密⽅式,⼀个系统⽤户对⽂件加密后,只有以该⽤户的⾝份登陆才能读取该⽂件。EFS加密的⽂件和⽂件夹名字颜⾊是绿⾊,或者在该⽂件或⽂件夹的⾼级属性是加密属性。这样做在很⼤程度尚提⾼了数据的安全性,但是如果秘钥⽂件丢失或者重装系统就会导致加过密的⽂件不能打开,今天的教程主要介绍的就是如果电脑使⽤ESF加密后却因为其他原因导致⽆法打开⽂件,我们应该怎么解密。
EFS加密原理介绍
要想解密,我们⾸先要了解是怎么加的密,下⾯介绍EFS加密原理。
EFS⽂件加密
如何为文件夹加密当我们使⽤EFS对⼀个NTFS⽂件进⾏加密时,Windows系统会⽣成⼀个伪随机数FEK(也就是⽂件加密的钥匙),⽤这个FEK对⽂件进⾏加密同时将⽂件的原位进⾏覆写,随后系统利⽤公钥再进⾏⼀次对FEK的加密,加密后的FEK存储在加密⽂件的EFS属性中。
⽤户访问被加密的⽂件时,系统是利⽤私钥先解密FEK,再使⽤FEK解密⽂件,这⾥我们所说的公钥和私钥统称为秘钥,如果⽤户登录到了域环境中使⽤,那么决定秘钥⽣成的是域控制器,如果⽤户没有登
录域环境,那么秘钥的⽣成依赖于本地机器。
通常情况下要解密EFS加密的⽂件需要依赖于⽤户私钥,私钥保存在Windows分区的Documents and
Settings\%UserName%\Application Data\Microsoft\Crypto\RSA\%UserSID%路径下,这个SID是⼀个安全的标识符,⽤来表⽰账号唯⼀特征,在账号创建时由Windows系统分配。Windows系统为保护私钥还会对私钥再进⾏⼀次加密,称为主密钥,主密钥位于Windows分区的Documents and Settings\%UserName%\Application
Data\Microsoft\Protect\%UserSID%,然后再⽤⽤户密码⽣成的密钥对主密钥进⾏加密。
简单对上述这⼀加密过程进⾏归纳就形成了“⽤户密码->主密钥->私钥->FEK->EFS加密⽂件”的加密链。如果想要对EFS进⾏解密,我们需要得到的信息包括⽤户密码、主密钥、私钥。
EFS⽆秘钥情况下解密思路
1. 查看现有系统占⽤空间情况,查或重组加密FEK的私钥、主密钥、
2. 查看现有mft⽂件⽬录的占⽤空间,根据⽤户密码进⾏校验匹配,解密⽤户⽂件,
3. 对解密出来的⽂件进⾏校验和逻辑分析,提取所需数据即可。
4. 如果使⽤EFS对⽂件进⾏了加密,应该及时将秘钥进⾏备份并妥善保管。
5. 如果EFS秘钥⽂件丢失应停⽌继续使⽤计算机,降低秘钥被覆盖的可能。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论